Digitalisiertes Gesundheitswesen – rechtliche Aspekte

Diese Dynamik ist das Ergebnis zweier hoch innovativer und dynamischer Schlüsseltechnologien – die der Biotechnologie und der Informationstechnologie. Beide Technologien führen zu grundlegenden Neuerungen bei den medizinischen Möglichkeiten einerseits und bei der Informationsspeicherung, -verarbeitung und -weitergabe andererseits. Gleichzeitig sind Personendaten ein wertvolles Gut, an welchem ökonomische Interessen bestehen. Dieser materielle Aspekt steht in einem Spannungsverhältnis zur Kontrolle des Einzelnen über die Daten, welche über ihn gesammelt, verarbeitet, gespeichert und weitergegeben werden. Gesundheitsdaten, und hier vor allem genetische Daten, betreffen dabei einen ausserordentlich sensiblen Bereich, welcher eines besonderen Schutzes bedarf. Informationelle Selbstbestimmung und Rechtsrahmen Grundlage dieses Schutzes stellt das informationelle Selbstbestimmungsrecht dar, welches jedem Menschen das Recht gibt, darüber zu bestimmen, ob und welche Daten über ihn gesammelt werden und ob diese Daten verarbeitet, gespeichert und weitergegeben werden dürfen. Das informationelle Selbstbestimmungsrecht ist in Art. 13 der Bundesverfassung verankert, wonach jede Person Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs sowie auf Schutz vor Missbrauch ihrer persönlichen Daten hat. Auf Bundesebene hat dieses Recht seine Ausgestaltung und gesetzliche Grundlage im Bundesgesetz über den Datenschutz (DSG). Hinzu kommen die kantonalen Datenschutzgesetze sowie besondere Schutzvorschriften in anderen Gesetzen, so insbesondere im Humanforschungsgesetz (HFG) sowie im Gesetz über genetische Untersuchungen am Menschen (GUMG). Das DSG erfasst sämtliche Personendaten, bietet für Gesundheitsdaten als besonders schützenswerte Daten einen zusätzlichen Schutz und legt in den allgemeinen Datenschutzbestimmungen verschiedene Grundsätze fest. So dürfen Personendaten nur rechtmässig bearbeitet werden und nur zu dem Zweck, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten muss die Einwilligung ausdrücklich erfolgen. Die gespeicherten Daten müssen zudem richtig sein, es bestehen Auskunftsansprüche und die Datenweitergabe, insbesondere die grenzüberschreitende Bekanntgabe, ist eingeschränkt. Insgesamt verfügt die Schweiz mit diesem Rechtsrahmen über einen hohen Schutz von Personendaten.

Die massive und weiter fortschreitende Digitalisierung im Gesundheitssektor führt zu zahlreichen Rechtsfragen, welche nach den Datenquellen unterschieden werden können:

• Gesundheitsdaten im Rahmen einer medizinischen Behandlung (zum Beispiel elektronisches Patientendossier, Daten im Rahmen der Krankenversicherung, genetische Daten im Bereich der personalisierten Medizin, selbstgenerierte Daten für medizinische Behandlungen, Medical Apps),

• Gesundheitsdaten, die ausserhalb einer medizinischen Behandlung selbst generiert werden (zum Beispiel life style tools, Smartphones mit Messfunktionen, Aktivitätstracker, direct-to-consumer-Gentests) sowie Gesundheitsdaten die freiwillig in den Social Media geteilt werden, und

• Gesundheitsdaten, welche automatisch oder halbautomatisch generiert werden (z.B. durch Objekte im Internet of Things, durch vernetzte Geräte oder Suchmaschinen sowie Algorithmen im Internet).

Soweit es sich um Daten handelt, welche in medizinischen Behandlungen generiert beziehungsweise gesammelt werden, sind diese Daten entweder privat oder grundsätzlich nur einem beschränkten Personenkreis zugänglich. Soweit solche persönlichen Daten in der Schweiz verbleiben, sind sie grundsätzlich auch gut geschützt. Ebenso besteht ein hoher Schutz, wenn sich die Daten in der EU befinden. Die EU hat mit der Datenschutzgrundverordnung (DSGVO), welche seit 2018 den gemeinsamen Datenschutzrahmen in der EU bildet und unmittelbar in allen EU-Mitgliedstaaten gilt, eine der weltweit striktesten Regulierungen zum Datenschutz. Schwierige Rechtsfragen stellen sich jedoch insbesondere dann, wenn die Daten die Schweiz und die EU verlassen. Dies kann insbesondere bei den beiden letztgenannten Kategorien der Fall sein. Unternehmen der Informationstechnologie sammeln auf globaler Ebene bereits sehr grosse Mengen von Gesundheitsdaten sowie genetische Daten. Datenverknüpfungsalgorithmen ermöglichen, trotz der Barrieren, welche durch De-Identifizierungsverfahren zum Schutz der Identitäten entstehen, Daten, die primär voneinander getrennt erscheinen, aus verschiedenen Quellen zusammenzutragen. Sofern diese Daten nicht in der Schweiz und auch nicht in der EU gespeichert werden, unterliegen sie nicht den hier geltenden strengen Datenschutzbestimmungen und können in verschiedener und nicht transparenter Weise verwendet werden.

Das Hauptproblem besteht darin, dass der Datenmarkt ein globaler Markt ist, während die Regulierungen zum Schutz personenbezogener Daten national oder allenfalls regional ausgestaltet sind. Die Datenschutzregulierungen in der Schweiz und in der EU weisen grundsätzlich ein sehr hohes Schutzniveau auf. Diese Regulierungen schützen jedoch grundsätzlich nur solange, als sich die Daten auch in der Schweiz oder in der EU befinden – sie schützen jedoch nicht vor einem Datenmissbrauch in einem globalisierten und intransparenten Datenmarkt. Hier greifen die dargestellten Grundsätze des schweizerischen Datenschutzrechts nicht. Hinzu kommt, dass zukünftige Nutzungsmöglichkeiten von bereits jetzt generierten Daten derzeit noch nicht absehbar sind. Gesetzliche Regulierungen zum Schutz von gesundheitsbezogenen und genetischen Daten, insbesondere im internationalen Bereich, sind erforderlich – ein bewusster Umgang mit Daten auch.